Dieses Problem wird höchstwahrscheinlich durch den AutoErmittlungsdienst von Outlook verursacht , der Teil der Outlook Anywhere- Funktionalität ist. Die automatische Erkennung stellt dem Outlook-Client des Endbenutzers verschiedene Informationen zu den verschiedenen von Exchange angebotenen Diensten zur Verfügung und wo diese gefunden werden können. Dies wird für eine Vielzahl von Zwecken verwendet:
Automatische Konfiguration von Outlook-Profilen bei der ersten Ausführung von Outlook, bei der ein Exchange-Konto nur unter Verwendung der E-Mail-Adresse und des Kennworts des Benutzers konfiguriert werden kann, da die anderen Informationen automatisch gesucht und abgerufen werden.
Dynamischer Speicherort von webbasierten Diensten, auf die der Outlook-Client zugreift, einschließlich Abwesenheitsassistent, Unified Messaging-Funktionalität, Speicherort der Exchange-Systemsteuerung (ECP) usw.
Dies ist die proprietäre Implementierung von RFC 6186 von Microsoft . Leider haben sie die Empfehlungen dieses RFC im Design von Outlook Anywhere nicht wirklich befolgt, aber das ist möglicherweise zu erwarten, da Exchange- und RPC-über-HTTPS-Funktionen kein traditioneller IMAP / SMTP-Server sind.
Wie funktioniert die automatische Erkennung (für externe * Benutzer)?
Die automatische Erkennung kommuniziert mit einem Webdienst auf einem Clientzugriffsserver (in diesem Fall befinden sich alle Rollen auf dem SBS-Server) unter dem Pfad /Autodiscover/Autodiscover.xml
, der von seiner Standardwebsite aus verwurzelt ist. Um den vollqualifizierten Domänennamen des Servers zu ermitteln, mit dem kommuniziert werden soll, wird der Benutzerteil der E-Mail-Adresse entfernt und die Domäne (dh @ companyB.com) verlassen. Es wird versucht, über die folgenden URLs mit Autodiscover zu kommunizieren:
https://companyB.com/Autodiscover/Autodiscover.xml
https://autodiscover.companyB.com/Autodiscover/Autodiscover.xml
Wenn dies fehlschlägt, wird versucht, eine nicht sichere Verbindung herzustellen, indem SSL deaktiviert und versucht wird, über Port 80 (HTTP) zu kommunizieren. Dies erfolgt normalerweise, nachdem der Benutzer aufgefordert wurde, zu bestätigen, dass dies eine akzeptable Aktion ist (meiner Meinung nach eine fehlerhafte Option, da ahnungslose Benutzer dies tun werden) In der Regel wird dies genehmigt, und es besteht das Risiko, dass Anmeldeinformationen über Nur-Text gesendet werden. Ahnungslose Systemadministratoren, die keine gesicherte Kommunikation von Anmeldeinformationen und geschäftskritischen Daten benötigen, sind ein Risiko für die Geschäftskontinuität.
Abschließend wird eine Folgeüberprüfung mithilfe eines Dienstdatensatzes (SRV) im DNS durchgeführt, der an einem bekannten Ort außerhalb des companyB.com
Namespaces vorhanden ist und Outlook an die richtige URL umleiten kann, unter der der Server empfangsbereit ist.
Was kann schon schief gehen?
Hierbei kann eines von mehreren Problemen auftreten:
Keine DNS-Einträge
In der Regel wird der Stamm der Domäne ( companyB.com
) möglicherweise nicht in einen Hosteintrag im DNS aufgelöst. Eine falsche DNS-Konfiguration (oder eine bewusste Entscheidung, den Outlook Anywhere-Dienst nicht verfügbar zu machen) kann bedeuten, dass der autodiscover.companyB.com
Datensatz ebenfalls nicht vorhanden ist.
In diesen Fällen gibt es keine größeren Probleme. Outlook kommuniziert einfach weiterhin mit Exchange mit der zuletzt bekannten Konfiguration und ist möglicherweise in Bezug auf bestimmte webbasierte Funktionen, für die es URLs über die automatische Erkennung abrufen muss (z. B. Abwesenheitsassistent), beeinträchtigt. Eine Problemumgehung besteht darin, Outlook Web Access für den Zugriff auf solche Funktionen zu verwenden.
Die automatische Konfiguration von Exchange-Konten in neuen Outlook-Profilen ist ebenfalls nicht automatisiert und erfordert eine manuelle Konfiguration der RPC-über-HTTPS-Einstellungen. Dies führt jedoch nicht zu dem von Ihnen beschriebenen Problem.
Fehlerhafte SSL-Zertifikate
Es ist durchaus möglich, dass die URL, die Outlook verwendet, um zu versuchen, eine Verbindung mit dem Exchange Server herzustellen, zu einem Host aufgelöst wird, der möglicherweise ein Clientzugriffsserver ist oder nicht. Wenn Outlook über Port 443 mit diesem Server kommunizieren kann, werden natürlich Zertifikate ausgetauscht, um einen sicheren Kanal zwischen Outlook und dem Remoteserver einzurichten. Wenn die URL, mit der Outlook zu sprechen glaubt, nicht in diesem Zertifikat aufgeführt ist - sei es als gebräuchlicher Name oder alternativer Antragstellername (SAN) -, wird Outlook aufgerufen, um das Dialogfeld anzuzeigen, das Sie in Ihrem ersten Beitrag beschrieben haben.
Dies kann verschiedene Gründe haben, je nachdem, wie DNS konfiguriert ist und wie die oben beschriebenen URLs von Outlook überprüft werden:
Wenn die https://companyB.com/
... URL Entschlüsse an einen Host - Datensatz, und den Web - Server an dieser Adresse lauscht auf Port 443, und es hat ein SSL - Zertifikat , das tut nicht Liste companyB.com
in dem gemeinsamen Namen oder Subject Alternative Namen, dann wird das Problem auftreten. Es spielt keine Rolle, ob der Host ein Exchange Server ist oder nicht. Möglicherweise handelt es sich um einen Webserver, auf dem eine Unternehmens-Website gehostet wird, die nicht ordnungsgemäß konfiguriert ist. Corrige entweder:
- Deaktivieren des Host - Datensatz an der Wurzel der
companyB.com
Zone (bedürftigen Besucher der Website oder andere Dienste zu treten www.companyB.com
, oder gleichwertig; oder
- Deaktivieren Sie den Zugriff auf den Computer
companyB.com
über Port 443, wodurch Outlook die companyB.com
URL ablehnt, bevor Zertifikate ausgetauscht und weitergeleitet werden. oder
- Korrigieren Sie das Zertifikat unter,
companyB.com
um sicherzustellen, dass companyB.com
es in diesem Zertifikat aufgeführt ist und dass der Versuch, es https://companyB.com
in einem Standardbrowser aufzurufen, nicht fehlschlägt.
Das oben Gesagte gilt unabhängig davon, ob es companyB.com
auf den Exchange Server aufgelöst wird. Wenn Outlook mit ihm kommunizieren kann, stellt es später fest, dass der /Autodiscover/Autodiscover.xml
Pfad einen HTTP 404-Fehler ergibt (nicht vorhanden), und fährt fort.
Wenn die https://autodiscover.companyB.com/
URL ... in den Exchange-Server (oder einen anderen Server) aufgelöst wird, autodiscover.companyB.com
jedoch nicht als allgemeiner Name oder alternativer Antragstellername aufgeführt ist, tritt dieses Verhalten auf. Es kann durch die Festsetzung der Bescheinigung , wie oben festgelegt werden, oder wie Sie richtig angeben, können Sie einen verwenden SRV - Eintrag Outlook auf eine URL zu umleiten , die sich auf dem Zertifikat aufgeführt und die Outlook kann kommunizieren.
Ihre wahrscheinliche Lösung für dieses Problem
In diesem Fall besteht die typische Lösung darin, Letzteres zu tun. Erstellen Sie SRV-Einträge im neuen DNS-Anbieter, um sicherzustellen, dass Outlook umgeleitet wird. Dies autodiscover.companyA.com
funktioniert (abgesehen von anderen Problemen), da es im Zertifikat als SAN aufgeführt ist. Damit dies funktioniert, müssen Sie:
- Konfigurieren Sie einen
_autodiscover._tcp.companyB.com
SRV-Datensatz gemäß der Dokumentation .
- Löschen Sie den
autodiscover.companyB.com
Host-Datensatz, falls vorhanden, um zu verhindern, dass Outlook dies löst und versucht, die automatische Erkennung auf diese Weise zu erreichen.
- Beheben Sie auch alle Probleme mit dem HTTPS-Zugriff
https://companyB.com
wie oben beschrieben, da Outlook die von der E-Mail-Adresse des Benutzers abgeleiteten URLs auflistet, bevor Sie auf die SRV-Datensatzmethode zurückgreifen.
* Wie funktioniert die automatische Erkennung (für interne, domänenverbundene Clients)?
Ich füge dies nur der Vollständigkeit halber hinzu, da dies ein weiterer häufiger Grund für das Auftreten dieser Zertifikat-Eingabeaufforderungen ist.
Auf einem Client mit Domänenbeitritt werden die oben genannten Techniken nicht verwendet, wenn er lokal in der Exchange-Umgebung (dh im internen LAN) ist. Stattdessen kommuniziert Outlook direkt mit einem Dienstverbindungspunkt in Active Directory (in den Exchange-Clientzugriffseinstellungen aufgeführt), der die URL enthält, unter der Outlook den AutoErmittlungsdienst finden kann.
Unter diesen Umständen kommt es häufig zu Zertifikatswarnungen, weil:
- Die für diesen Zweck konfigurierte Standard-URL bezieht sich auf die interne URL von Exchange, die sich häufig von der öffentlichen URL unterscheidet.
- In SSL-Zertifikaten wird möglicherweise nicht die interne URL aufgeführt. Derzeit ist dies bei Ihnen der Fall, dies kann jedoch in Zukunft zu einem Problem für Active Directory-Domänen werden, die
.local
ähnliche nicht-globale gTLD-Domänennamensuffixe verwenden, da eine Entscheidung der ICANN die Ausstellung von SSL-Zertifikaten für solche Domänen nach 2016 untersagt.
- Die interne Adresse wird möglicherweise nicht in den richtigen Server aufgelöst.
In diesem Fall wird das Problem behoben, indem die aufgezeichnete URL so korrigiert wird, dass sie auf die richtige externe Adresse verweist (im Zertifikat aufgeführt), indem das Set-ClientAccessServer
Cmdlet mit dem -AutodiscoverServiceInternalUri
Schalter ausgeführt wird. Parteien, die dies tun, konfigurieren in der Regel auch Split-Horizon-DNS , entweder weil sie dies aufgrund ihrer Netzwerkkonfiguration und / oder aus Gründen der Auflösungskontinuität bei einem Upstream-Resolver / Verbindungsausfall tun müssen.